Ouvrir le menu principal

MacGeneration

Recherche

Retenez-vous de faire PyPI : il y a des fuites

Pierre Dandumont

lundi 18 décembre 2023 à 17:00 • 19

Ailleurs

Si vous codez en Python, vous avez probablement déjà employé PyPI (Python Package Index). En effet, des gestionnaires comme pip, qui permettent de télécharger des scripts en Python, récupèrent les données dans cette base de données, à la manière d'un App Store. Et des chercheurs de chez Eset (spécialisée dans la sécurité) viennent de montrer que c'était parfois une mauvaise idée : vous risquez de vous retrouver avec un logiciel malveillant sur votre ordinateur.

Le logo de PyPi.

La bonne nouvelle, c'est que les malwares installés ne semblent pas toucher macOS, mais attaquent Windows et les distributions GNU/Linux. La mauvaise, c'est que si vous codez en Python avec un de ces deux systèmes, vous avez peut-être été infecté : les chercheurs indiquent qu'ils ont noté plus de 10 000 téléchargements pour un des package infectés, et une moyenne de 80 installations par jour depuis mai 2023.

Il faut bien comprendre comment fonctionne PyPI : il propose de nombreux package, c'est-à-dire des logiciels en Python. Ils peuvent être fournis sous la forme de code (les sources) ou dans des versions déjà compilées pour des versions précises. Le gestionnaire tend à proposer cette seconde version (nommée wheel) quand elle est disponible, et — dans certains cas — elle est différente des sources… et infectée par un programme malveillant.

Les téléchargements étaient assez réguliers (image Eset)

Ils montrent quelques exemples d'attaques possibles, avec l'importation de modules malicieux au milieu des sources, ou tout simplement l'inclusion de commandes PowerShell (un outil Microsoft) pour exécuter du code. D'autres récupèrent tout simplement du code malicieux depuis Dropbox, par exemple. Ils expliquent aussi que les programmes tentent de s'installer en profondeur, soit avec du code en VBScript (sous Windows) ou en s'attaquant à certains gestionnaires de bureaux sous GNU/Linux.

Enfin, les malandrins récupèrent les malwares eux-mêmes, implémentés en Python sous Windows et en Go sous GNU/Linux. Il y a plusieurs versions, mais ils permettent l'exécution de commandes à distance, la récupération de fichiers (évidemment à l'insu de l'utilisateur) et parfois même la possibilité de prendre des captures d'écran. Différents malwares existent, mais ils s'attaquent essentiellement aux cryptomonnaies, comme le Bitcoin, l'Ethereum ou le Monero. Il y a même des attaques insidieuses, qui consistent à vérifier le contenu du presse-papier pour détecter une éventuelle adresse liée à un portefeuille numérique. En clair, les logiciels infectés sur PyPI peuvent amener des fuites (de données).

Il faut tout de même noter que les programmes malicieux découverts ne sont plus en ligne (la liste est disponible ici) et que le problème n'est pas lié à la sécurité de PyPI, mais plus au fait qu'il est parfois compliqué de vérifier la présence d'un malware dans du code, même s'il est open source. Et donc qu'une vérification des données que vous allez télécharger et installer n'est pas superflue, surtout si vous avez des données sensibles sur votre ordinateur.

Source :

Image d'ouverture : Faucet par smalllikeart

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Quand Apple a sorti... une molaire

18/04/2025 à 22:15

• 10


Clap de fin pour Mythic Quest, qui voit son épisode final modifié pour mieux clore la série

18/04/2025 à 21:30

• 8


Un support pour Mac mini M4 qui en bouche un coin(-coin)

18/04/2025 à 20:45

• 18


Redonnez vie à vos photos floues : l'IA d’Aiarty passe à la vitesse supérieure 📍

18/04/2025 à 18:01

• 0


Choosy permet de choisir un navigateur web différent en fonction du lien à ouvrir

18/04/2025 à 18:00

• 12


Doom, Mario, Civilization : les IA génératives peuvent-elles terminer des jeux des années 90 ?

18/04/2025 à 17:30

• 7


Les agences immobilières peuvent intégrer DossierFacile sur leur site

18/04/2025 à 15:04

• 6


Assistant d’évaluation : un rapport de bug peut servir à entraîner Apple Intelligence

18/04/2025 à 12:43

• 3


macOS 15.4 ne blanchit plus le fond de l'écran

18/04/2025 à 12:05

• 4


Promo : jusqu'à 10 % de remise sur les MacBook Pro et MacBook Air M4

18/04/2025 à 10:56

• 6


Netflix augmente ses prix en France sur fond de bons résultats

18/04/2025 à 08:11

• 188


Les dernières publicités de Beats vantent avec humour les mérites des nouveaux câbles colorés de la marque

18/04/2025 à 08:03

• 24


Incogni lance un plan Unlimited (et c’est une petite révolution dans la protection des données) 📍

17/04/2025 à 23:58

• 0


Tim Cook, plus que jamais dans les petits papiers de Donald Trump

17/04/2025 à 21:30

• 78


Guide d’achat : quel MacBook acheter en ce début 2025 ?

17/04/2025 à 20:30

• 10


Meta a réfléchi un temps à étendre l’option payante de Facebook aux USA

17/04/2025 à 20:15

• 6